¿Qué es una autoridad de certificación?
Cuestionario básico para aclarar los principales conceptos que se manejan
Paloma Llaneza es abogada especializada en derecho informático y cada mes responde a un consultorio jurídico en la revista Ciberp@ís Mensual. Este suplemento le ha planteado las preguntas básicas para entender cómo funciona la firma digital.
¿Qué es la firma digital?
La firma es un sistema que permite identificar al emisor de un documento. Cuando hablamos de firma electrónica es para distinguir que no se genera manualmente, sino por medio de sistemas informáticos. Hay dos variedades: la firma electrónica simple y la avanzada; de hecho, cuando se habla de firma digital se entiende que hablamos de la avanzada. La simple consistiría, por ejemplo, en digitalizar tu firma manuscrita, conservarla en un archivo de imagen y adjuntarlo cuando remites un documento. No lleva aparejado ningún sistema de seguridad que garantice que el documento es de quien dice haberlo enviado. La firma digital (o electrónica avanzada), por el contrario, permite la identificación del signatario, consiste en un par de claves -la pública y la privada-, tiene que crearse por medios que el signatario mantiene bajo su exclusivo control y permite detectar si se han introducido modificaciones en el documento una vez ha sido enviado.
¿Cómo se genera una firma digital?
La firma digital, aunque la ley no lo dice para evitar tener que cambiarla si surgen nuevas tecnologías, se basa en un sistema de cifrado asimétrico con dos claves, una pública y otra privada. Las claves se generan con dispositivos de creación de firma.
¿Qué son las autoridades de certificación?
Son entidades de libre creación, aunque por ahora se les exige estar registradas, que suministran los certificados que identifican al usuario con su clave pública e, indirectamente, con la privada, con la que mantiene una relación matemática. Los llamados certificados de atribución no sólo garantizan la identidad del firmante, sino que, por ejemplo, sí tienen poderes de la empresa para concluir un determinado contrato comercial.
¿Es necesaria la intervención de una autoridad de certificación para obtener la firma?
No, basta con disponer del programa informático adecuado. Una empresa, un caso, puede organizar un sistema de firma digital de sus empleados para los trámites internos de la misma. Para la relación con terceros es más aconsejable obtener un certificado de una autoridad de certificación. Tras una gestión en persona, como en el caso de la FNMT, para cotejar la identidad del signatario, la autoridad emite un certificado que identifica al usuario con su firma digital (más bien con su clave pública). Este certificado puede instalarse en el disco duro del ordenador, y cada vez que se remita un documento que necesita la firma digital lo adjunta. Este sistema tiene un problema. Al estar depositados los datos en el ordenador, existe el peligro de que un pirata entre en él y los consiga. Es preferible conservar el certificado y las claves en una tarjeta electrónica que, a través de un lector, se introduce cuando se quiere firmar. De esta manera, los datos sólo son vulnerables a una intromisión en el instante de la firma.
¿Cómo trabaja una autoridad de certificación si se contrata que certifique atributos como, por ejemplo, que tengo poderes de la empresa?
Mientras que el documento con firma digital se envía directamente al destinatario, en este caso se debería acudir a un sistema de triangulación; es decir, en cada operación la autoridad de certificación habría de acudir a datos externos (como el registro mercantil o un colegio de abogados) para comprobar mis poderes. Este sistema está poco extendido ya que no están generalizados los convenios de las certificadoras con bases de datos de terceros. Algunos poderes de un empleado se inscriben en el Registro Mercantil, pero una empresa puede haberle retirado los poderes sin notificarlo al Registro, por lo que la consulta es inútil.
En otros casos, ni siquiera existe esta base de datos. Por ello no se acude a la triangulación. Cuando una empresa solicita una firma digital para uno de sus empleados se concreta el rango de la misma.
Guerra de autoridades
¿Qué pasa si la otra parte contrata una autoridad de certificación distinta de la mía? La Administración central sólo reconoce en sus relaciones con el ciudadano la autoridad de certificación de la FNMT. Hay que acudir a ella en las relaciones electrónicas con la Administración central. Las autonómicas están inciando sus propios proyectos de autoridad de certificación, lo que puede conducir a un panorama casi feudal. Según vayan las cosas necesitaremos tantas firmas digitales como administraciones públicas con las que queramos tener relación, a no ser que se acuerden sistemas de reconocimiento mutuo, aunque con el DNI digital esta situación podrá atenuarse. En el caso de empresas particulares, en principio, las autoridades de certificación deberían reconocerse mutuamente. Si una empresa no admite otra autoridad que la que tiene contratada, entonces dependerá del interés de la otra parte en llegar a un acuerdo para que acuda a ella o no. Es una cuestión de poder en una relación bilateral.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.